转译自: Pierre Jourdan,3CX 应用安全与互操作性经理

虽然案例并不多见,但我们确实发现过由于多项配置不当,导致 3CX 系统异常暴露并遭受 “盗打诈骗” 的案例。在本篇博文中,我们将重点分析几个容易导致系统受损的常见错误,并分享相应的防范对策。

 

什么是盗打诈骗?

通俗来说,盗打诈骗就是不法分子利用您的 PBX 电话交换机拨打电话,却由您来买单。这类攻击通常发生在深夜或公司休息时间,对方会向各类国际长途号码发起大流量拨号。直到月底你收到一张巨额账单时,才追悔莫及。

从 PBX 诞生的早期起,免费拨打国际长途就是 “电话黑客” 或诈骗犯的目标。你可能觉得随着通信成本降低,这已成为过去式,但在如今的 VoIP 时代,追求工业化暴利的组织化犯罪已演变成全球性威胁。

黑客通常会攻破 IP PBX 服务器,利用自动化手段疯狂拨打其控制下的高额付费国际号码,从而赚取通话佣金。这也被称为国际收益分成诈骗(IRSF)。另一种更直接的变现方式是在暗网上出售偷来的账号凭证进行转卖。

3CX 系统内置了许多安全特性和默认设置来防止此类滥用,但遗憾的是,部分管理员在不了解风险的情况下关闭了这些安全开关,最终导致了事故的发生。

以下是我们需要重点避开的 TOP 5 常见错误

 

错误 1:账户凭证强度过低

最常见的错误就是为分机设置了弱密码。

在 3CX 中创建分机时,系统会在各个层级生成随机的强凭证,包括 SIP 认证 ID、SIP 密码、话机 Web 界面登录密码以及随机的语音信箱 PIN 码等。请务必坚持使用这些随机值,以防范暴力破解攻击。

对于用户登录,系统默认开启双因子验证(2FA)并强制执行严格的密码策略。您还可以接入企业级 SSO 单点登录,目前已支持 MicrosoftGoogle 账号。

自 V15.5 版本起,系统已禁止保存凭证过短的分机。但如果您是从旧版本或备份中迁移的数据,可能仍残留有风险设置。

如果管理员发现分机凭证强度不足,姓名旁会出现警告标识。

凭证强度不足的警告标识

此外,严禁为了测试而设置临时简单密码。经验表明,很多本打算“上线后再改”的密码,最后都被彻底遗忘了。

 

错误 2:违规开启远程访问

第二个常见错误是在不需要的情况下,取消勾选了分机选项中的 “拦截远程非隧道连接(不安全!)” 。

此选项默认开启,用于防止外部 SIP 直接注册。即便开启此项,您仍可正常使用 3CX 手机客户端或 Web 端,因为它们走的是 3CX 隧道协议。除非您必须使用远程 STUN 方式连接硬话机,否则绝不应取消勾选此项。

拦截远程非隧道连接

 

错误 3:开放过多的通话国家/地区

在首次安装 3CX 时,系统默认仅允许向安装地所在国家拨号。您可以在“高级/允许的国家代码”中找到此列表。

应当仅保留业务所需的国家。 一次性勾选“允许所有国家”是非常糟糕的操作,因为这种“临时方便”往往在后期再也不会被手动关闭。

允许外呼的国家代码

 

错误 4:外呼规则过于宽泛

另一种坏习惯是设置“懒人版”外呼规则(Outbound Rules),允许系统内任何人拨打任何号码。典型的错误规则是:除了默认分机组外,没有任何匹配限制。

您应当像配置防火墙一样严谨地设置规则:定义特定的前缀、号码长度,并指定哪些分机或分机组才有权拨外线。

 

错误 5:E164 设置不当

在“设置/E164 处理”中,系统会自动将“+”替换为您当地的国际拨号长途前缀(如中国为 00,美国为 011)。

此设置至关重要,因为它直接影响到前文提到的“允许国家代码”拦截功能是否生效。

例如,如果国际字冠设置为“00”且拦截了阿尔巴尼亚(Albania),则该功能将识别并拦截格式为 00355xxx+355xxx 的拨号。

如果您错误地配置了国际字冠,不仅会导致“+”号替换错误,还可能导致该安全功能失效。

 E164 设置

请注意,在我们观察到的大多数电话诈骗案例中,通常是上述 5 个错误的累积叠加才导致了系统被攻破。单一的错误往往不足以让攻击者得逞。

早在 V16 版本中,我们就引入了两项重大的安全功能,以进一步增强 3CX 的安全态势。第一项功能允许您根据 IP 地址限制管理控制台的访问权限,该选项位于“高级 / 控制台限制”(Advanced / Console Restrictions)中。默认情况下允许所有 IP 访问;一旦启用,它将仅允许本地 IP 子网和指定的公网 IP 通过。此选项不会干扰其他 Web 服务,如自动配置(provisioning)、Web 客户端等。

根据 IP 地址限制管理控制台的访问权限

第二项重大改进是 3CX 全球自动 IP 黑名单,可在“高级 / 反黑客”(Advanced / Anti-Hacking)中找到。

启用此功能后,您的 PBX 会将任何黑名单事件(包括攻击者 IP)报告给我们的中央服务器。经过评估后,反复出现的攻击者将被添加到黑名单中,并同步分发到所有启用了该功能的 3CX 系统,从而确保所有恶意流量都会被直接拦截。

截至目前,这一全球黑名单已包含超过 29,000 个被举报为诈骗或欺诈的常用 IP 及网段。我们强烈建议您保持此功能处于启用状态。

3CX 全球自动 IP 黑名单

万一发生安全事件,请保持冷静,不要惊慌。在采取任何进一步行动之前,收集日志至关重要,以便对取证信息(forensic information)进行存档。

具体操作如下:前往“仪表板”(Dashboard)并生成“支持信息”(support information),系统将生成一个 .zip 压缩文件,并随后通过电子邮件向您发送下载链接。

 

如果您收到了来自 EDR(端点检测与响应)或杀毒软件的安全警报,该怎么办?

请将该问题报告给您的杀毒软件供应商。一旦获得其提供的杀毒软件供应商报告(Antivirus Vendor Report),请通过提交此联系表单并选择“安全与数据保护”(Security & Data Protection)选项来与我们共享该报告。

如果您拥有 3CX 合作伙伴(服务商),请立即向他们报告任何安全报告或警报。

 

参与互动

关注我们的互动频道,及时获取最新动态。